<b>NAME</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;&nbsp;-&nbsp;Web&nbsp;Server&nbsp;and&nbsp;CGI&nbsp;Scanner<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Version&nbsp;-&nbsp;1.36<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>SYNOPSIS</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto&nbsp;[-h&nbsp;target]&nbsp;[options]<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>WARNING</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;is&nbsp;a&nbsp;tool&nbsp;for&nbsp;finding&nbsp;default&nbsp;web&nbsp;files&nbsp;and&nbsp;examing&nbsp;web&nbsp;server&nbsp;and&nbsp;CGI&nbsp;security.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;It&nbsp;makes&nbsp;a&nbsp;lot&nbsp;of&nbsp;reqeusts&nbsp;to&nbsp;the&nbsp;remote&nbsp;server,&nbsp;which&nbsp;in&nbsp;some&nbsp;cases&nbsp;may&nbsp;cause&nbsp;the&nbsp;server<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;to&nbsp;crash.&nbsp;&nbsp;It&nbsp;may&nbsp;also&nbsp;be&nbsp;illegal&nbsp;to&nbsp;use&nbsp;this&nbsp;software&nbsp;against&nbsp;servers&nbsp;you&nbsp;do&nbsp;not&nbsp;have&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;permission&nbsp;to&nbsp;do&nbsp;test.<br>
<br>
<br>
<b>DESCRIPTION</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;is&nbsp;designed&nbsp;to&nbsp;examine&nbsp;web&nbsp;servers&nbsp;and&nbsp;look&nbsp;for&nbsp;items&nbsp;in&nbsp;multiple&nbsp;categories:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;misconfigurations<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;default&nbsp;files&nbsp;and&nbsp;scripts<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;insecure&nbsp;files&nbsp;and&nbsp;scripts<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;outdated&nbsp;software<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;It&nbsp;uses&nbsp;Rain&nbsp;Forest&nbsp;Puppy's&nbsp;LibWhisker&nbsp;(wiretrip.net)&nbsp;for&nbsp;HTTP&nbsp;functionality,&nbsp;and&nbsp;can&nbsp;perform&nbsp;checks&nbsp;in&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;HTTP&nbsp;or&nbsp;HTTPS.&nbsp;&nbsp;It&nbsp;also&nbsp;supports&nbsp;basic&nbsp;port&nbsp;scanning&nbsp;and&nbsp;will&nbsp;determine&nbsp;if&nbsp;a&nbsp;web&nbsp;server<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;is&nbsp;running&nbsp;on&nbsp;any&nbsp;open&nbsp;ports.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;checks&nbsp;and&nbsp;code&nbsp;can&nbsp;be&nbsp;automatically&nbsp;udpated&nbsp;from&nbsp;the&nbsp;main&nbsp;distribution&nbsp;server&nbsp;by<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;using&nbsp;the&nbsp;'update'&nbsp;option&nbsp;(see&nbsp;below)&nbsp;to&nbsp;ensure&nbsp;Nikto&nbsp;is&nbsp;checking&nbsp;the&nbsp;most&nbsp;recent&nbsp;vulnerabilities.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;will&nbsp;also&nbsp;load&nbsp;user&nbsp;defined&nbsp;checks&nbsp;at&nbsp;startup&nbsp;if&nbsp;they&nbsp;are&nbsp;placed&nbsp;in&nbsp;a&nbsp;file&nbsp;named&nbsp;"user_scan_database.db"&nbsp;in<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;the&nbsp;plugins&nbsp;directory.&nbsp;&nbsp;Unlike&nbsp;scan_database.db,&nbsp;this&nbsp;file&nbsp;will&nbsp;not&nbsp;be&nbsp;over-written&nbsp;if&nbsp;the&nbsp;-update&nbsp;option&nbsp;is&nbsp;used.&nbsp;This<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;should&nbsp;always&nbsp;be&nbsp;used&nbsp;if&nbsp;you&nbsp;add&nbsp;your&nbsp;own&nbsp;checks&nbsp;(and&nbsp;you&nbsp;should&nbsp;send&nbsp;those&nbsp;checks&nbsp;to&nbsp;sullo@cirt.net).<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;leaves&nbsp;a&nbsp;footprint&nbsp;on&nbsp;a&nbsp;server&nbsp;it&nbsp;scans--both&nbsp;in&nbsp;an&nbsp;invalid&nbsp;404&nbsp;check&nbsp;and&nbsp;in&nbsp;the&nbsp;User-Agent&nbsp;header.&nbsp;This&nbsp;can<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;be&nbsp;changed&nbsp;by&nbsp;forcing&nbsp;the&nbsp;$NIKTO{fingerprint}&nbsp;and&nbsp;$NIKTO{useragent}&nbsp;to&nbsp;new&nbsp;values&nbsp;in&nbsp;the&nbsp;source&nbsp;code,&nbsp;OR,&nbsp;if&nbsp;any<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;IDS&nbsp;evasion&nbsp;(-e)&nbsp;option&nbsp;is&nbsp;used.&nbsp;&nbsp;Note&nbsp;that&nbsp;it's&nbsp;pretty&nbsp;obvious&nbsp;when&nbsp;Nikto&nbsp;is&nbsp;scanning&nbsp;a&nbsp;server&nbsp;anyway--the&nbsp;large<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;number&nbsp;of&nbsp;invalid&nbsp;requests&nbsp;sticks&nbsp;out&nbsp;a&nbsp;lot&nbsp;in&nbsp;the&nbsp;server&nbsp;logs,&nbsp;although&nbsp;with&nbsp;an&nbsp;IDS&nbsp;evasion&nbsp;technique&nbsp;it&nbsp;might&nbsp;not<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;be&nbsp;extremely&nbsp;obvious&nbsp;that&nbsp;it&nbsp;was&nbsp;Nikto.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Why&nbsp;the&nbsp;name&nbsp;Nikto?&nbsp;See&nbsp;the&nbsp;movies&nbsp;"The&nbsp;Day&nbsp;the&nbsp;Earth&nbsp;Stood&nbsp;Still"&nbsp;and,&nbsp;of&nbsp;course&nbsp;"Army&nbsp;of&nbsp;Darkness"&nbsp;for&nbsp;the&nbsp;answer.&nbsp;For<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;a&nbsp;full&nbsp;list&nbsp;of&nbsp;pop-culture&nbsp;references&nbsp;to&nbsp;Nikto,&nbsp;see&nbsp;http://www.blather.net/archives2/issue2no21.html&nbsp;which&nbsp;has&nbsp;a&nbsp;lot&nbsp;of<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;good&nbsp;information.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>OPTIONS</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;The&nbsp;options&nbsp;listed&nbsp;below&nbsp;are&nbsp;all&nbsp;optional&nbsp;except&nbsp;the&nbsp;-h&nbsp;target&nbsp;specification.&nbsp;&nbsp;They&nbsp;can&nbsp;all&nbsp;be&nbsp;abbreviated<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;to&nbsp;the&nbsp;first&nbsp;letter&nbsp;(i.e.,&nbsp;-m&nbsp;for&nbsp;-mutate),&nbsp;with&nbsp;the&nbsp;exception&nbsp;of&nbsp;-verbose&nbsp;and&nbsp;-debug.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-Cgidirs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Optionally&nbsp;force&nbsp;the&nbsp;CGI&nbsp;directories&nbsp;to&nbsp;scan.&nbsp;Valid&nbsp;values&nbsp;are&nbsp;'none'&nbsp;to&nbsp;not&nbsp;check&nbsp;any,&nbsp;'all'&nbsp;to&nbsp;force&nbsp;scan&nbsp;all<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;CGi&nbsp;directories&nbsp;(like&nbsp;the&nbsp;deprecated&nbsp;-allcgi),&nbsp;or&nbsp;a&nbsp;value&nbsp;to&nbsp;use&nbsp;as&nbsp;the&nbsp;CGI&nbsp;directory,&nbsp;i.e.&nbsp;'/cgi/'.&nbsp;<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-cookies&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Print&nbsp;out&nbsp;the&nbsp;cookie&nbsp;names&nbsp;and&nbsp;values&nbsp;that&nbsp;were&nbsp;received&nbsp;during&nbsp;the&nbsp;scan.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-evasion&nbsp;<evasion&nbsp;method><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;IDS&nbsp;evasion&nbsp;techniques.&nbsp;&nbsp;This&nbsp;enables&nbsp;the&nbsp;intrusion&nbsp;detection&nbsp;evasion&nbsp;in&nbsp;LibWhisker.&nbsp;&nbsp;Multiple&nbsp;options<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;can&nbsp;be&nbsp;used&nbsp;by&nbsp;stringing&nbsp;the&nbsp;numbers&nbsp;together,&nbsp;i.e.&nbsp;to&nbsp;enable&nbsp;methods&nbsp;1&nbsp;and&nbsp;5,&nbsp;use&nbsp;"-e&nbsp;15".&nbsp;&nbsp;The&nbsp;valid<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;options&nbsp;are&nbsp;(use&nbsp;the&nbsp;number&nbsp;preceeding&nbsp;each&nbsp;description):<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Random&nbsp;URI&nbsp;encoding&nbsp;(non-UTF8)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Add&nbsp;directory&nbsp;self-reference&nbsp;/./<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Premature&nbsp;URL&nbsp;ending<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Prepend&nbsp;long&nbsp;random&nbsp;string&nbsp;to&nbsp;request<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Fake&nbsp;parameters&nbsp;to&nbsp;files<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TAB&nbsp;as&nbsp;request&nbsp;spacer&nbsp;instead&nbsp;of&nbsp;spaces<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Random&nbsp;case&nbsp;sensitivity<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Use&nbsp;Windows&nbsp;directory&nbsp;separator&nbsp;\&nbsp;instead&nbsp;of&nbsp;/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Session&nbsp;splicing<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;See&nbsp;the&nbsp;LibWhisker&nbsp;source&nbsp;for&nbsp;more&nbsp;information,&nbsp;or&nbsp;http://www.wiretrip.net/<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-findonly<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Use&nbsp;port&nbsp;scan&nbsp;to&nbsp;find&nbsp;valid&nbsp;HTTP&nbsp;and&nbsp;HTTPS&nbsp;ports&nbsp;only,&nbsp;but&nbsp;do&nbsp;not&nbsp;perform&nbsp;checks&nbsp;against&nbsp;them.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-Format<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Output&nbsp;format&nbsp;for&nbsp;the&nbsp;file&nbsp;specified&nbsp;with&nbsp;the&nbsp;-output&nbsp;option.&nbsp;Valid&nbsp;formats&nbsp;are:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;HTM&nbsp;-&nbsp;HTML&nbsp;output&nbsp;format.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TXT&nbsp;-&nbsp;Text&nbsp;output&nbsp;format.&nbsp;This&nbsp;is&nbsp;the&nbsp;default&nbsp;if&nbsp;-F&nbsp;is&nbsp;not&nbsp;specified.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;CSV&nbsp;-&nbsp;Comma&nbsp;Seperated&nbsp;Value&nbsp;format.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-generic&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Force&nbsp;full&nbsp;scan&nbsp;rather&nbsp;than&nbsp;trusting&nbsp;the&nbsp;"Server:"&nbsp;identification&nbsp;string,&nbsp;as&nbsp;many&nbsp;servers&nbsp;allow&nbsp;this<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;to&nbsp;be&nbsp;changed.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-host&nbsp;<ip,&nbsp;hostname&nbsp;or&nbsp;file><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Target&nbsp;host(s)&nbsp;to&nbsp;check&nbsp;against.&nbsp;This&nbsp;can&nbsp;be&nbsp;an&nbsp;IP&nbsp;address&nbsp;or&nbsp;hostname,&nbsp;or&nbsp;a&nbsp;file&nbsp;of&nbsp;IPs&nbsp;or&nbsp;hostnames.&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;If&nbsp;this&nbsp;argument&nbsp;is&nbsp;a&nbsp;file,&nbsp;it&nbsp;should&nbsp;formatted&nbsp;as&nbsp;described&nbsp;below.&nbsp;This&nbsp;is&nbsp;the&nbsp;only&nbsp;required&nbsp;option.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-id&nbsp;<user:password:realm><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;HTTP&nbsp;Authentication&nbsp;use,&nbsp;format&nbsp;is&nbsp;userid:password&nbsp;for&nbsp;authorizing&nbsp;Nikto&nbsp;a&nbsp;web&nbsp;server&nbsp;realm.&nbsp;For&nbsp;NTLM<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;realms,&nbsp;format&nbsp;is&nbsp;id:password:realm.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-mutate&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Mutate&nbsp;checks.&nbsp;This&nbsp;causes&nbsp;Nikto&nbsp;put&nbsp;all&nbsp;files&nbsp;with&nbsp;all&nbsp;directories&nbsp;from&nbsp;the&nbsp;.db&nbsp;files&nbsp;and&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;can&nbsp;the&nbsp;host.&nbsp;You&nbsp;might&nbsp;find&nbsp;some&nbsp;oddities&nbsp;this&nbsp;way.&nbsp;Note&nbsp;that&nbsp;it&nbsp;generates&nbsp;a&nbsp;lot&nbsp;of&nbsp;checks.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-nolookup<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Don't&nbsp;perform&nbsp;a&nbsp;host&nbsp;name&nbsp;lookup.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-output&nbsp;<filename><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Write&nbsp;output&nbsp;to&nbsp;this&nbsp;file&nbsp;when&nbsp;complete.&nbsp;&nbsp;Format&nbsp;is&nbsp;text&nbsp;unless&nbsp;specified&nbsp;via&nbsp;-Format.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-port&nbsp;<port&nbsp;number><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Port&nbsp;number&nbsp;to&nbsp;scan,&nbsp;defaults&nbsp;to&nbsp;port&nbsp;80&nbsp;if&nbsp;missing.&nbsp;&nbsp;This&nbsp;can&nbsp;also&nbsp;be&nbsp;a&nbsp;range&nbsp;or&nbsp;list&nbsp;of&nbsp;ports,&nbsp;which<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;will&nbsp;check&nbsp;for&nbsp;web&nbsp;servers.&nbsp;&nbsp;If&nbsp;a&nbsp;web&nbsp;server&nbsp;is&nbsp;found,&nbsp;it&nbsp;will&nbsp;perform&nbsp;a&nbsp;full&nbsp;scan&nbsp;unless&nbsp;the<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-f&nbsp;option&nbsp;is&nbsp;used.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-root<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Always&nbsp;prepend&nbsp;this&nbsp;to&nbsp;requests,&nbsp;i.e.,&nbsp;changes&nbsp;a&nbsp;request&nbsp;of&nbsp;"/password.txt"&nbsp;to&nbsp;"/directory/password.txt"&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(assuming&nbsp;the&nbsp;value&nbsp;passed&nbsp;on&nbsp;the&nbsp;CLI&nbsp;was&nbsp;"/directory")<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-ssl&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Force&nbsp;SSL&nbsp;mode&nbsp;on&nbsp;port(s)&nbsp;listed.&nbsp;&nbsp;Note&nbsp;that&nbsp;Nikto&nbsp;attempts&nbsp;to&nbsp;determine&nbsp;if&nbsp;a&nbsp;port&nbsp;is&nbsp;HTTP&nbsp;or&nbsp;HTTPS&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;automatically,&nbsp;but&nbsp;this&nbsp;can&nbsp;be&nbsp;slow&nbsp;if&nbsp;the&nbsp;server&nbsp;fails&nbsp;to&nbsp;respond&nbsp;or&nbsp;is&nbsp;slow&nbsp;to&nbsp;respond&nbsp;to&nbsp;the&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;incorrect&nbsp;one.&nbsp;This&nbsp;sets&nbsp;SSL&nbsp;usage&nbsp;for&nbsp;*all*&nbsp;hosts&nbsp;and&nbsp;ports.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-timeout&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Timeout&nbsp;for&nbsp;each&nbsp;request,&nbsp;default&nbsp;is&nbsp;10&nbsp;seconds<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-useproxy<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Use&nbsp;the&nbsp;proxy&nbsp;defined&nbsp;in&nbsp;config.txt&nbsp;for&nbsp;all&nbsp;requests<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-vhost&nbsp;<ip&nbsp;or&nbsp;hostname><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Virtual&nbsp;host&nbsp;to&nbsp;use&nbsp;for&nbsp;the&nbsp;"Host:"&nbsp;header,&nbsp;in&nbsp;case&nbsp;it&nbsp;is&nbsp;different&nbsp;from&nbsp;the&nbsp;target.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-Version<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Print&nbsp;version&nbsp;numbers&nbsp;of&nbsp;Nikto,&nbsp;all&nbsp;plugins&nbsp;and&nbsp;all&nbsp;databases.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-404<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pass&nbsp;a&nbsp;string&nbsp;to&nbsp;be&nbsp;matched&nbsp;against&nbsp;content.&nbsp;If&nbsp;a&nbsp;page&nbsp;matches&nbsp;to&nbsp;this&nbsp;string,&nbsp;it&nbsp;cannot&nbsp;be&nbsp;treated&nbsp;as&nbsp;a&nbsp;positive&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(it&nbsp;will&nbsp;be&nbsp;skipped,&nbsp;like&nbsp;a&nbsp;404&nbsp;response).<br>
<br>
&nbsp;&nbsp;&nbsp;These&nbsp;options&nbsp;cannot&nbsp;be&nbsp;abbreviated&nbsp;to&nbsp;the&nbsp;first&nbsp;letter:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-dbcheck<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;option&nbsp;will&nbsp;check&nbsp;the&nbsp;syntax&nbsp;of&nbsp;the&nbsp;checks&nbsp;in&nbsp;the&nbsp;scan_database.db&nbsp;and&nbsp;user_scan_database.db&nbsp;files.&nbsp;This<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;is&nbsp;really&nbsp;only&nbsp;useful&nbsp;if&nbsp;you&nbsp;are&nbsp;adding&nbsp;checks&nbsp;or&nbsp;are&nbsp;having&nbsp;problems.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-debug<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Print&nbsp;a&nbsp;huge&nbsp;amount&nbsp;of&nbsp;detail&nbsp;out.&nbsp;In&nbsp;most&nbsp;cases&nbsp;this&nbsp;is&nbsp;going&nbsp;to&nbsp;be&nbsp;more&nbsp;information&nbsp;than&nbsp;you&nbsp;need,&nbsp;so<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;try&nbsp;-verbose&nbsp;first.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-update<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;will&nbsp;connect&nbsp;to&nbsp;cirt.net&nbsp;and&nbsp;download&nbsp;updated&nbsp;scan_database.db&nbsp;and&nbsp;plugin&nbsp;files.&nbsp;Use&nbsp;this&nbsp;with<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;caution&nbsp;as&nbsp;you&nbsp;are&nbsp;downloading&nbsp;files--perhaps&nbsp;including&nbsp;code--from&nbsp;an&nbsp;"untrusted"&nbsp;source.&nbsp;This&nbsp;option<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;cannot&nbsp;be&nbsp;combined&nbsp;with&nbsp;any&nbsp;other,&nbsp;but&nbsp;required&nbsp;variables&nbsp;(like&nbsp;the&nbsp;PROXY&nbsp;settings)&nbsp;will&nbsp;be&nbsp;loaded<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;from&nbsp;the&nbsp;config.txt&nbsp;file.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-verbose&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Print&nbsp;out&nbsp;a&nbsp;lot&nbsp;of&nbsp;extra&nbsp;data&nbsp;during&nbsp;a&nbsp;run.&nbsp;This&nbsp;can&nbsp;be&nbsp;useful&nbsp;if&nbsp;a&nbsp;scan&nbsp;or&nbsp;server&nbsp;is&nbsp;failing,&nbsp;or&nbsp;to&nbsp;see<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;exactly&nbsp;how&nbsp;a&nbsp;server&nbsp;responds&nbsp;to&nbsp;each&nbsp;request.<br>
<br>
<b>HOSTNAME&nbsp;FILE</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;If&nbsp;a&nbsp;file&nbsp;is&nbsp;specified&nbsp;with&nbsp;-h&nbsp;instead&nbsp;of&nbsp;a&nbsp;hostname&nbsp;or&nbsp;IP,&nbsp;Nikto&nbsp;will&nbsp;open&nbsp;the&nbsp;file&nbsp;to&nbsp;use&nbsp;it&nbsp;as&nbsp;a&nbsp;list&nbsp;of&nbsp;targets.&nbsp;The&nbsp;file<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;should&nbsp;be&nbsp;formatted&nbsp;with&nbsp;one&nbsp;host&nbsp;per&nbsp;line.&nbsp;If&nbsp;no&nbsp;port&nbsp;is&nbsp;specified,&nbsp;port&nbsp;80&nbsp;is&nbsp;assumed.&nbsp;Multiple&nbsp;ports&nbsp;may&nbsp;be&nbsp;specified&nbsp;per<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;host.&nbsp;If&nbsp;a&nbsp;host&nbsp;file&nbsp;is&nbsp;used,&nbsp;any&nbsp;ports&nbsp;specified&nbsp;via&nbsp;-p&nbsp;are&nbsp;added&nbsp;to&nbsp;every&nbsp;host.&nbsp;Valid&nbsp;lines&nbsp;would&nbsp;be:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;10.100.100.100<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;10.100.100.100:443<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;10.100.100.100,443<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;10.100.100.100:443:8443<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;10.100.100.100,443,8443<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;evilash.example.com,80<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(etc)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<br>
<b>CONFIG&nbsp;FILE</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;The&nbsp;'config.txt'&nbsp;file&nbsp;provides&nbsp;a&nbsp;means&nbsp;to&nbsp;set&nbsp;variables&nbsp;at&nbsp;run-time&nbsp;without&nbsp;modifying&nbsp;the&nbsp;Nikto&nbsp;source&nbsp;itself.&nbsp;The<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;options&nbsp;below&nbsp;can&nbsp;be&nbsp;set&nbsp;in&nbsp;the&nbsp;file.&nbsp;Options&nbsp;that&nbsp;accept&nbsp;multiple&nbsp;values&nbsp;(CGIDIRS,&nbsp;SKIPPORTS,&nbsp;etc.)&nbsp;should&nbsp;just&nbsp;use<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;a&nbsp;space&nbsp;to&nbsp;distinguish&nbsp;multiple&nbsp;values.&nbsp;&nbsp;None&nbsp;of&nbsp;these&nbsp;are&nbsp;required&nbsp;unless&nbsp;you&nbsp;need&nbsp;them.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;CLIOPTS&nbsp;-&nbsp;Add&nbsp;any&nbsp;option&nbsp;here&nbsp;to&nbsp;be&nbsp;added&nbsp;to&nbsp;every&nbsp;Nikto&nbsp;execution,&nbsp;whether&nbsp;specified&nbsp;at&nbsp;the&nbsp;command&nbsp;line&nbsp;or&nbsp;not.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;NMAP&nbsp;-&nbsp;Path&nbsp;to&nbsp;nmap.&nbsp;If&nbsp;defined,&nbsp;Nikto&nbsp;will&nbsp;use&nbsp;nmap&nbsp;to&nbsp;port&nbsp;scan&nbsp;a&nbsp;host&nbsp;rather&nbsp;than&nbsp;PERL&nbsp;code,&nbsp;and&nbsp;so&nbsp;should&nbsp;be&nbsp;faster.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;SKIPPORTS&nbsp;-&nbsp;Port&nbsp;number&nbsp;never&nbsp;to&nbsp;scan&nbsp;(so&nbsp;you&nbsp;don't&nbsp;crash&nbsp;services,&nbsp;perhaps?).<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PROXYHOST&nbsp;-&nbsp;Server&nbsp;to&nbsp;use&nbsp;as&nbsp;a&nbsp;proxy,&nbsp;either&nbsp;IP&nbsp;or&nbsp;hostname,&nbsp;no&nbsp;'http://'&nbsp;needed.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PROXYPORT&nbsp;-&nbsp;Port&nbsp;number&nbsp;that&nbsp;PROXYHOST&nbsp;uses&nbsp;as&nbsp;a&nbsp;proxy.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PROXYUSER&nbsp;-&nbsp;If&nbsp;the&nbsp;PROXYHOST&nbsp;requires&nbsp;authentication,&nbsp;use&nbsp;this&nbsp;ID.&nbsp;Nikto&nbsp;will&nbsp;prompt&nbsp;for&nbsp;it&nbsp;if&nbsp;this&nbsp;is&nbsp;not&nbsp;set&nbsp;&&nbsp;it&nbsp;is&nbsp;needed.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PROXYPASS&nbsp;-&nbsp;If&nbsp;the&nbsp;PROXYHOST&nbsp;requires&nbsp;a&nbsp;password&nbsp;for&nbsp;PROXYUSER,&nbsp;use&nbsp;this&nbsp;password.&nbsp;&nbsp;Nikto&nbsp;will&nbsp;prompt&nbsp;for&nbsp;it&nbsp;if&nbsp;this&nbsp;is&nbsp;not&nbsp;set&nbsp;&&nbsp;it&nbsp;is&nbsp;needed.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PLUGINDIR&nbsp;-&nbsp;If&nbsp;Nikto&nbsp;can't&nbsp;find&nbsp;it's&nbsp;plugin&nbsp;directory&nbsp;for&nbsp;some&nbsp;reason,&nbsp;enter&nbsp;the&nbsp;full&nbsp;path&nbsp;and&nbsp;the&nbsp;problem&nbsp;is&nbsp;solved.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UPDATES&nbsp;&nbsp;&nbsp;-&nbsp;Turns&nbsp;data&nbsp;push&nbsp;to&nbsp;cirt.net&nbsp;on.&nbsp;Please&nbsp;see&nbsp;the&nbsp;CIRT.NET&nbsp;UPDATES&nbsp;section&nbsp;for&nbsp;details.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;MAX_WARN&nbsp;&nbsp;-&nbsp;If&nbsp;the&nbsp;number&nbsp;of&nbsp;OK&nbsp;or&nbsp;MOVED&nbsp;messages&nbsp;reaches&nbsp;this&nbsp;number,&nbsp;a&nbsp;warning&nbsp;will&nbsp;printed.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PROMPTS&nbsp;&nbsp;&nbsp;-&nbsp;If&nbsp;set&nbsp;to&nbsp;"no",&nbsp;Nikto&nbsp;will&nbsp;*never*&nbsp;prompt&nbsp;for&nbsp;anything--proxy&nbsp;auth,&nbsp;updates,&nbsp;nothing...<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;DEFAULTHTTPVER&nbsp;-&nbsp;First&nbsp;try&nbsp;this&nbsp;HTTP&nbsp;method.&nbsp;If&nbsp;this&nbsp;fails,&nbsp;Nikto&nbsp;will&nbsp;attempt&nbsp;to&nbsp;find&nbsp;a&nbsp;valid&nbsp;one.&nbsp;Useful&nbsp;if&nbsp;you&nbsp;want&nbsp;try&nbsp;something&nbsp;non-standard.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;STATIC-COOKIE&nbsp;&nbsp;-&nbsp;The&nbsp;name/value&nbsp;of&nbsp;this&nbsp;cookie,&nbsp;if&nbsp;set,&nbsp;will&nbsp;be&nbsp;sent&nbsp;for&nbsp;every&nbsp;request&nbsp;(useful&nbsp;for&nbsp;auth&nbsp;cookies).<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Variables&nbsp;that&nbsp;start&nbsp;with&nbsp;the&nbsp;'at'&nbsp;sign&nbsp;(@)&nbsp;will&nbsp;be&nbsp;used&nbsp;when&nbsp;scan&nbsp;rules&nbsp;are&nbsp;loaded.&nbsp;For&nbsp;each&nbsp;value&nbsp;(seperated&nbsp;by&nbsp;space),&nbsp;the&nbsp;rule<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;will&nbsp;be&nbsp;duplicated.&nbsp;See&nbsp;the&nbsp;TEST&nbsp;DATABASES&nbsp;section&nbsp;for&nbsp;more&nbsp;information.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Predefined&nbsp;variables&nbsp;are:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@CGIDIRS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;CGI&nbsp;directories&nbsp;to&nbsp;look&nbsp;for,&nbsp;valid&nbsp;ones&nbsp;(or&nbsp;all)&nbsp;will&nbsp;be&nbsp;used&nbsp;for&nbsp;CGI&nbsp;checks&nbsp;against&nbsp;the&nbsp;remote&nbsp;host.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@MUTATEDIRS&nbsp;&nbsp;-&nbsp;Additional&nbsp;directories&nbsp;to&nbsp;use&nbsp;when&nbsp;operating&nbsp;under&nbsp;the&nbsp;Mutate&nbsp;mode&nbsp;besides&nbsp;ones&nbsp;already&nbsp;defined&nbsp;the&nbsp;.db&nbsp;files.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@MUTATEFILES&nbsp;-&nbsp;Additional&nbsp;files&nbsp;to&nbsp;use&nbsp;when&nbsp;operating&nbsp;under&nbsp;the&nbsp;Mutate&nbsp;mode&nbsp;besides&nbsp;ones&nbsp;already&nbsp;defined&nbsp;the&nbsp;.db&nbsp;files.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@ADMINDIRS&nbsp;&nbsp;&nbsp;-&nbsp;Typical&nbsp;administration&nbsp;directories.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@USERS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;Typical&nbsp;user&nbsp;names&nbsp;for&nbsp;the&nbsp;user&nbsp;guessing&nbsp;plugins.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>CIRT.NET&nbsp;UPDATES</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;In&nbsp;order&nbsp;to&nbsp;help&nbsp;keep&nbsp;the&nbsp;Nikto&nbsp;databases&nbsp;up-to-date,&nbsp;you&nbsp;have&nbsp;the&nbsp;ability&nbsp;to&nbsp;easily&nbsp;submit&nbsp;some&nbsp;updates&nbsp;back&nbsp;to&nbsp;cirt.net&nbsp;for&nbsp;inclusion<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;in&nbsp;new&nbsp;copies&nbsp;of&nbsp;the&nbsp;databases.&nbsp;&nbsp;Currently,&nbsp;this&nbsp;only&nbsp;includes&nbsp;software&nbsp;versions&nbsp;(such&nbsp;as&nbsp;"Apache/7.0.3").&nbsp;If&nbsp;Nikto&nbsp;scans&nbsp;a&nbsp;host&nbsp;and&nbsp;sees&nbsp;a&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;newer&nbsp;version&nbsp;on&nbsp;the&nbsp;host&nbsp;than&nbsp;it&nbsp;has&nbsp;in&nbsp;the&nbsp;database,&nbsp;or&nbsp;it&nbsp;is&nbsp;missing&nbsp;entirely,&nbsp;(and&nbsp;your&nbsp;databases&nbsp;are&nbsp;fairly&nbsp;recent),&nbsp;this&nbsp;information&nbsp;can<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;be&nbsp;automatically&nbsp;(or&nbsp;manually)&nbsp;sent&nbsp;back&nbsp;to&nbsp;cirt.net.&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Behaviour&nbsp;of&nbsp;this&nbsp;option&nbsp;is&nbsp;controlled&nbsp;in&nbsp;config.txt&nbsp;through&nbsp;the&nbsp;UPDATES&nbsp;variable.&nbsp;If&nbsp;UPDATES&nbsp;is&nbsp;set&nbsp;to&nbsp;"no",&nbsp;Nikto&nbsp;will<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;not&nbsp;send&nbsp;or&nbsp;ask&nbsp;about&nbsp;sending&nbsp;values&nbsp;to&nbsp;cirt.net.&nbsp;If&nbsp;set&nbsp;to&nbsp;"auto",&nbsp;it&nbsp;will&nbsp;automatically&nbsp;send&nbsp;the&nbsp;data&nbsp;through&nbsp;an&nbsp;HTTP&nbsp;request.&nbsp;If&nbsp;set&nbsp;to&nbsp;"yes"<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(which&nbsp;is&nbsp;the&nbsp;default),&nbsp;when&nbsp;there&nbsp;are&nbsp;updates&nbsp;it&nbsp;will&nbsp;ask&nbsp;if&nbsp;you&nbsp;would&nbsp;like&nbsp;to&nbsp;submit&nbsp;and&nbsp;show&nbsp;you&nbsp;the&nbsp;data&nbsp;(unless&nbsp;PROMPTS=no).<br>
&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;There&nbsp;is&nbsp;only&nbsp;one&nbsp;thing&nbsp;submitted&nbsp;to&nbsp;cirt.net&nbsp;when&nbsp;you&nbsp;do&nbsp;this:&nbsp;the&nbsp;"updated"&nbsp;version&nbsp;string.&nbsp;&nbsp;No&nbsp;information&nbsp;specific&nbsp;to&nbsp;the&nbsp;host&nbsp;tested&nbsp;is&nbsp;sent.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;No&nbsp;information&nbsp;from&nbsp;the&nbsp;scanning&nbsp;source&nbsp;is&nbsp;sent&nbsp;(it&nbsp;does&nbsp;log&nbsp;your&nbsp;IP&nbsp;address&nbsp;as&nbsp;seen&nbsp;by&nbsp;cirt.net's&nbsp;web&nbsp;server,&nbsp;but...&nbsp;nothing&nbsp;else).&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;If&nbsp;you're&nbsp;not&nbsp;comfortable&nbsp;with&nbsp;this,&nbsp;you&nbsp;may&nbsp;also&nbsp;email&nbsp;it&nbsp;to&nbsp;me&nbsp;at&nbsp;sullo@cirt.net&nbsp;or&nbsp;just&nbsp;set&nbsp;UPDATES=no.&nbsp;Please&nbsp;don't&nbsp;complain&nbsp;and&nbsp;say&nbsp;I'm&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;stealing&nbsp;your&nbsp;data...&nbsp;just&nbsp;trying&nbsp;to&nbsp;save&nbsp;me&nbsp;some&nbsp;work&nbsp;;)<br>
&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Again:&nbsp;the&nbsp;default&nbsp;configuration&nbsp;of&nbsp;Nikto&nbsp;does&nbsp;*not*&nbsp;send&nbsp;*any*&nbsp;data&nbsp;to&nbsp;cirt.net.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>TEST&nbsp;DATABASES</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Rules&nbsp;in&nbsp;the&nbsp;scan&nbsp;databases&nbsp;can&nbsp;use&nbsp;dynamic&nbsp;variables&nbsp;from&nbsp;config.txt.&nbsp;Any&nbsp;variable&nbsp;that&nbsp;starts&nbsp;with&nbsp;the&nbsp;'at'&nbsp;sign&nbsp;(@)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;will&nbsp;be&nbsp;substited&nbsp;in&nbsp;rules.&nbsp;For&nbsp;example:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;A&nbsp;rule&nbsp;of&nbsp;"generic","@CGIDIRStest.html","200","GET","Test"&nbsp;with&nbsp;"@CGIDIRS=/cgi-bin/&nbsp;/cgi-sys/"&nbsp;will&nbsp;test&nbsp;for:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/cgi-bin/test.html<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/cgi-sys/test.html<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Any&nbsp;number&nbsp;of&nbsp;these&nbsp;variables&nbsp;can&nbsp;be&nbsp;set,&nbsp;and&nbsp;any&nbsp;number&nbsp;can&nbsp;be&nbsp;used&nbsp;in&nbsp;a&nbsp;rule&nbsp;(i.e.,&nbsp;"@CGIDIRS@ADMINDIRStest.html").<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Additionally,&nbsp;the&nbsp;generic&nbsp;@HOSTNAME&nbsp;and&nbsp;@IP&nbsp;are&nbsp;available,&nbsp;which&nbsp;use&nbsp;the&nbsp;current&nbsp;target's&nbsp;hostname&nbsp;or&nbsp;IP.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Rules&nbsp;can&nbsp;be&nbsp;specified&nbsp;which&nbsp;also&nbsp;have&nbsp;conditionals&nbsp;for&nbsp;test&nbsp;success.&nbsp;This&nbsp;can&nbsp;allow&nbsp;a&nbsp;test&nbsp;to&nbsp;look&nbsp;for&nbsp;a&nbsp;200&nbsp;HTTP&nbsp;response<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;but&nbsp;not&nbsp;contain&nbsp;the&nbsp;word&nbsp;"home".&nbsp;This&nbsp;would&nbsp;look&nbsp;like&nbsp;"200!home"&nbsp;in&nbsp;the&nbsp;scan_database.db&nbsp;file.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>EXAMPLES</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;A&nbsp;basic&nbsp;scan&nbsp;of&nbsp;a&nbsp;web&nbsp;server&nbsp;on&nbsp;port&nbsp;80.&nbsp;The&nbsp;-h&nbsp;option&nbsp;is&nbsp;the&nbsp;only&nbsp;option&nbsp;that&nbsp;is&nbsp;required&nbsp;for&nbsp;a&nbsp;basic&nbsp;scan&nbsp;of&nbsp;a&nbsp;web<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;server&nbsp;on&nbsp;the&nbsp;standard&nbsp;HTTP&nbsp;port.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto.pl&nbsp;-h&nbsp;10.100.100.10<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;A&nbsp;basic&nbsp;scan&nbsp;of&nbsp;a&nbsp;web&nbsp;server&nbsp;on&nbsp;port&nbsp;443,&nbsp;forcing&nbsp;SSL&nbsp;encryption&nbsp;and&nbsp;ignoring&nbsp;the&nbsp;Server&nbsp;header.&nbsp;&nbsp;Note&nbsp;that&nbsp;Nikto&nbsp;does<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;not&nbsp;assume&nbsp;port&nbsp;443&nbsp;to&nbsp;be&nbsp;SSL,&nbsp;but&nbsp;if&nbsp;HTTP&nbsp;fails&nbsp;it&nbsp;will&nbsp;try&nbsp;HTTPS.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto.pl&nbsp;-h&nbsp;10.100.100.10&nbsp;-p&nbsp;443&nbsp;-s&nbsp;-g<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Scanning&nbsp;multiple&nbsp;ports&nbsp;on&nbsp;the&nbsp;server,&nbsp;letting&nbsp;Nikto&nbsp;determine&nbsp;if&nbsp;they&nbsp;are&nbsp;HTTP&nbsp;and&nbsp;SSL&nbsp;encrypted.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto.pl&nbsp;-h&nbsp;10.100.100.10&nbsp;-p&nbsp;80-90&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Scanning&nbsp;specific&nbsp;ports&nbsp;on&nbsp;the&nbsp;system.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto.pl&nbsp;-h&nbsp;10.100.100.10&nbsp;-p&nbsp;80,443,8000,8080<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;You&nbsp;may&nbsp;combine&nbsp;IDS&nbsp;evasion&nbsp;techniques&nbsp;as&nbsp;desired.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto.pl&nbsp;-h&nbsp;10.100.100.10&nbsp;-p&nbsp;80&nbsp;-e&nbsp;167<br>
<br>
<br>
<b>IMPORTANT&nbsp;FILES</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;config.txt&nbsp;&nbsp;-&nbsp;run-time&nbsp;configuration&nbsp;options,&nbsp;see&nbsp;the&nbsp;CONFIG&nbsp;FILE&nbsp;section<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto_core.plugin&nbsp;-&nbsp;main&nbsp;Nikto&nbsp;code,&nbsp;absolutely&nbsp;required<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nikto_plugin_order.txt&nbsp;-&nbsp;determines&nbsp;the&nbsp;order&nbsp;in&nbsp;which&nbsp;plugins&nbsp;are&nbsp;executed<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;LW.pm&nbsp;-&nbsp;The&nbsp;stand-alone&nbsp;LibWhisker&nbsp;file.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;user_scan_database.db&nbsp;-&nbsp;If&nbsp;it&nbsp;exists&nbsp;in&nbsp;the&nbsp;plugins&nbsp;directory,&nbsp;it&nbsp;will&nbsp;load&nbsp;these&nbsp;checks&nbsp;as&nbsp;well.&nbsp;Same&nbsp;syntax&nbsp;as&nbsp;scan_database.db<br>
<br>
<br>
<b>ADDITIONAL&nbsp;SOFTWARE</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;LibWhisker&nbsp;is&nbsp;required&nbsp;for&nbsp;proper&nbsp;execution&nbsp;of&nbsp;Nikto.&nbsp;The&nbsp;LW.pm&nbsp;library&nbsp;is&nbsp;included&nbsp;with&nbsp;Nikto,&nbsp;but&nbsp;it&nbsp;is&nbsp;recommended<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;that&nbsp;you&nbsp;download&nbsp;and&nbsp;install&nbsp;the&nbsp;full&nbsp;LibWhisker&nbsp;module&nbsp;from&nbsp;http://www.wiretrip.net/.&nbsp;If&nbsp;you&nbsp;are&nbsp;not&nbsp;using&nbsp;an&nbsp;installed<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Libwhisker,&nbsp;you&nbsp;will&nbsp;need&nbsp;to&nbsp;change&nbsp;Nikto.pl&nbsp;so&nbsp;that&nbsp;it&nbsp;includes&nbsp;the&nbsp;proper&nbsp;LW.pm&nbsp;file.&nbsp;&nbsp;Edit&nbsp;Nikto.pl&nbsp;and&nbsp;comment&nbsp;the&nbsp;line:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;require&nbsp;"$NIKTO{plugindir}/LW.pm";<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;and&nbsp;uncomment&nbsp;the&nbsp;line&nbsp;below&nbsp;it:<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;use&nbsp;LW;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nmap&nbsp;can&nbsp;be&nbsp;used&nbsp;to&nbsp;speed&nbsp;up&nbsp;port&nbsp;scans.&nbsp;This&nbsp;should&nbsp;be&nbsp;much&nbsp;faster&nbsp;than&nbsp;relying&nbsp;on&nbsp;PERL&nbsp;code&nbsp;to&nbsp;perform&nbsp;port&nbsp;scans.&nbsp;Nmap&nbsp;can<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;be&nbsp;obtained&nbsp;from&nbsp;http://www.nmap.org/,&nbsp;it&nbsp;is&nbsp;not&nbsp;included&nbsp;with&nbsp;Nikto.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;SSL&nbsp;software&nbsp;is&nbsp;required&nbsp;to&nbsp;test&nbsp;using&nbsp;HTTPS.&nbsp;&nbsp;For&nbsp;Windows&nbsp;systems,&nbsp;the&nbsp;SSL&nbsp;software&nbsp;and&nbsp;libraries&nbsp;can&nbsp;be&nbsp;obtained&nbsp;from<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://www.activestate.com/.&nbsp;&nbsp;For&nbsp;unix&nbsp;systems,&nbsp;OpenSSL&nbsp;from&nbsp;http://www.openssl.org/&nbsp;and&nbsp;the&nbsp;Net::SSLeay&nbsp;module&nbsp;from<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://www.cpan.org/&nbsp;are&nbsp;required.<br>
<br>
<b>CHECKS</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Checks,&nbsp;both&nbsp;information&nbsp;and&nbsp;actual&nbsp;security&nbsp;problems,&nbsp;are&nbsp;derived&nbsp;from&nbsp;a&nbsp;number&nbsp;of&nbsp;sources.&nbsp;These&nbsp;include&nbsp;the&nbsp;mailing&nbsp;lists<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BugTraq,&nbsp;NTBugTraq,&nbsp;WebAppSec&nbsp;(WWW-Mobile-Code),&nbsp;and&nbsp;others.&nbsp;The&nbsp;web&nbsp;sites&nbsp;www.securitytracker.com,&nbsp;www.securiteam.com,&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;www.packetstormsecurity.com&nbsp;and&nbsp;www.securityfocus.com.&nbsp;&nbsp;Additionally,&nbsp;updates&nbsp;to&nbsp;Nessus&nbsp;are&nbsp;watched&nbsp;and&nbsp;many&nbsp;thanks&nbsp;to<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;all&nbsp;the&nbsp;plugin&nbsp;writers&nbsp;(and&nbsp;to&nbsp;Renaud&nbsp;for&nbsp;Nessus&nbsp;itself)&nbsp;(http://www.nessus.org/).<br>
<br>
<b>WARNINGS</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;can&nbsp;cause&nbsp;harm&nbsp;to&nbsp;your&nbsp;local&nbsp;system,&nbsp;the&nbsp;remote&nbsp;system&nbsp;and/or&nbsp;the&nbsp;network.&nbsp;&nbsp;Some&nbsp;options&nbsp;can&nbsp;generate&nbsp;over&nbsp;70,000&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;HTTP&nbsp;requests&nbsp;to&nbsp;a&nbsp;target.&nbsp;Do&nbsp;not&nbsp;run&nbsp;Nikto&nbsp;againsts&nbsp;hosts&nbsp;you&nbsp;are&nbsp;not&nbsp;authorized&nbsp;to&nbsp;perform&nbsp;testing&nbsp;against.&nbsp;Cirt.net<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;takes&nbsp;no&nbsp;responsibility&nbsp;for&nbsp;anything&nbsp;done&nbsp;with&nbsp;this&nbsp;software,&nbsp;any&nbsp;problems&nbsp;it&nbsp;may&nbsp;cause&nbsp;or&nbsp;problems&nbsp;it&nbsp;may&nbsp;find.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Plugins&nbsp;are&nbsp;standard&nbsp;PERL.&nbsp;&nbsp;They&nbsp;are&nbsp;included&nbsp;and&nbsp;executed&nbsp;when&nbsp;Nikto&nbsp;is&nbsp;run.&nbsp;If&nbsp;you&nbsp;run&nbsp;the&nbsp;-update&nbsp;option,&nbsp;new&nbsp;and<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;updated&nbsp;plugins&nbsp;will&nbsp;be&nbsp;downloaded&nbsp;from&nbsp;cirt.net.&nbsp;This&nbsp;means&nbsp;you&nbsp;are&nbsp;downloading&nbsp;code,&nbsp;and&nbsp;potentially&nbsp;running&nbsp;it,&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;without&nbsp;viewing&nbsp;it&nbsp;yourself.&nbsp;&nbsp;Please&nbsp;consider&nbsp;the&nbsp;implications.&nbsp;&nbsp;Do&nbsp;not&nbsp;assume&nbsp;code&nbsp;distributed&nbsp;from&nbsp;Cirt.net&nbsp;is&nbsp;not<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;harmful,&nbsp;as&nbsp;accidents&nbsp;happen&nbsp;and&nbsp;a&nbsp;malicious&nbsp;third&nbsp;party&nbsp;may&nbsp;have&nbsp;inserted&nbsp;a&nbsp;dangerous&nbsp;plugin.&nbsp;Cirt.net&nbsp;assumes&nbsp;no&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;responsibility&nbsp;if&nbsp;any&nbsp;malicious&nbsp;code&nbsp;is&nbsp;delivered&nbsp;via&nbsp;the&nbsp;-update&nbsp;option.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<br>
<b>DISTRIBUTION</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nikto&nbsp;and&nbsp;updated&nbsp;databases&nbsp;and&nbsp;plugins&nbsp;is&nbsp;distributed&nbsp;from&nbsp;http://www.cirt.net/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>SEE&nbsp;ALSO</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;LibWhisker&nbsp;-&nbsp;http://www.wiretrip.net/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nmap&nbsp;-&nbsp;http://www.nmap.org/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;OpenSSL&nbsp;-&nbsp;http://www.openssl.org/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;CPAN&nbsp;-&nbsp;http://www.cpan.org/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ActiveState&nbsp;-&nbsp;http://www.activestate.com/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Nessus&nbsp;-&nbsp;http://www.nessus.org/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<b>LICENSE</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;copyright&nbsp;applies&nbsp;to&nbsp;all&nbsp;code&nbsp;included&nbsp;in&nbsp;this&nbsp;distribution,&nbsp;but&nbsp;does&nbsp;not&nbsp;include&nbsp;the&nbsp;LibWhisker&nbsp;software,&nbsp;which&nbsp;is<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;distributed&nbsp;under&nbsp;its&nbsp;own&nbsp;license.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Copyright&nbsp;&copy;&nbsp;2001-2007&nbsp;CIRT,&nbsp;Inc.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;program&nbsp;is&nbsp;free&nbsp;software;&nbsp;you&nbsp;can&nbsp;redistribute&nbsp;it&nbsp;and/or&nbsp;modify&nbsp;it&nbsp;under&nbsp;the&nbsp;terms&nbsp;of&nbsp;the&nbsp;GNU&nbsp;General&nbsp;Public&nbsp;License<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;as&nbsp;published&nbsp;by&nbsp;the&nbsp;Free&nbsp;Software&nbsp;Foundation;&nbsp;either&nbsp;version&nbsp;2&nbsp;&nbsp;of&nbsp;the&nbsp;License,&nbsp;or&nbsp;(at&nbsp;your&nbsp;option)&nbsp;any&nbsp;later&nbsp;version.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;program&nbsp;is&nbsp;distributed&nbsp;in&nbsp;the&nbsp;hope&nbsp;that&nbsp;it&nbsp;will&nbsp;be&nbsp;useful,&nbsp;but&nbsp;WITHOUT&nbsp;ANY&nbsp;WARRANTY;&nbsp;without&nbsp;even&nbsp;the&nbsp;implied&nbsp;warranty&nbsp;of<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;MERCHANTABILITY&nbsp;or&nbsp;FITNESS&nbsp;FOR&nbsp;A&nbsp;PARTICULAR&nbsp;PURPOSE.&nbsp;&nbsp;See&nbsp;the&nbsp;GNU&nbsp;General&nbsp;Public&nbsp;License&nbsp;for&nbsp;more&nbsp;details.<br>
<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;You&nbsp;should&nbsp;have&nbsp;received&nbsp;a&nbsp;copy&nbsp;of&nbsp;the&nbsp;GNU&nbsp;General&nbsp;Public&nbsp;License&nbsp;along&nbsp;with&nbsp;this&nbsp;program;&nbsp;if&nbsp;not,&nbsp;write&nbsp;to&nbsp;the&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Free&nbsp;Software&nbsp;Foundation,&nbsp;Inc.,&nbsp;59&nbsp;Temple&nbsp;Place&nbsp;-&nbsp;Suite&nbsp;330,&nbsp;Boston,&nbsp;MA&nbsp;&nbsp;02111-1307,&nbsp;USA.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Contact&nbsp;Information:&nbsp;See&nbsp;the&nbsp;AUTHOR&nbsp;section.<br>
<br>
<br>
<b>AUTHOR</b><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Sullo,&nbsp;sullo@cirt.net<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://www.cirt.net/<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Suggestions/fixes/support&nbsp;from:&nbsp;Jericho/attrition.org,&nbsp;rfp/wiretrip.net,&nbsp;Zel/firewallmonkeys.com,&nbsp;Zeno/cgisecurity.com,&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Darby/cirt.net,&nbsp;Valdez/cirt.net,&nbsp;S&nbsp;Saady,&nbsp;P&nbsp;Eronen/nixu.com,&nbsp;M&nbsp;Arboi,&nbsp;T&nbsp;Seyrat,&nbsp;J&nbsp;DePriest,&nbsp;P&nbsp;Woroshow,&nbsp;fr0stman,&nbsp;E&nbsp;Udassin,<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;H&nbsp;Heimann&nbsp;and&nbsp;more<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Many&nbsp;tests&nbsp;and&nbsp;contributed/suggested&nbsp;by:&nbsp;M&nbsp;Richardson,&nbsp;Jericho/attrition.org,&nbsp;Prickley&nbsp;Paw,&nbsp;M&nbsp;Arboi,&nbsp;H&nbsp;Heimann&nbsp;and&nbsp;more<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&nbsp;&nbsp;&nbsp;&nbsp;And&nbsp;Xiola.net&nbsp;for&nbsp;kicking&nbsp;ass.<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
